深信服 XDR 多源数据融合分析创新技术揭秘

「现网简单堆砌各类的流量监测和终端检测设备, 多方设备单打独斗, 以往基于 SIEM、SOC 等技术手段和方案, 并投入大量人力与成本, 依然存在高价值告警难以精准定位、响应处置效率低下等问题……」

这是用户在实战攻防演练前, 常常表达的担忧。

如何将传统设备单打独斗的模式, 转变成真正有效的多方设备协同作战的模式? 深信服 XDR 的多源数据融合分析能力, 精准定位高价值事件, 提升研判效率, 给用户交上了一份简单有效的答卷。

8 月 9 日,XDR 平台成功将 1 起扫描攻击定性为失败, 其中, 两家第三方厂商分别定性攻击为尝试和失败,XDR 通过多源数据关联分析取得最优检测结果。

8 月 14 日,XDR 平台通过聚合分析 SIP 和两家第三方厂商流量检测设备的告警, 发现 1 起 Webshell 上传成功攻击事件, 并完整还原故事线, 及时采取响应措施遏制攻击。

8 月 19 日,XDR 平台融合两家第三方厂商流量检测设备的多条重复告警, 针对攻击者同一次扫描攻击行为, 精准生成出 1 条扫描器攻击告警。

在今年的实战攻防演练期间, 某国家单位依托深信服 XDR 作为总值守平台, 通过多源数据融合分析, 发现 5 起高价值事件, 研判效率提升 65%。

该用户直言:「深信服 XDR 的效果, 颠覆我对安全运营产品的认知。」

深信服 XDR 平台如何实现多源数据融合分析?

首先, 我们要理解, 什么是 Open XDR?

基于以 AI 为内核的「开放平台+领先组件+云端服务」理念, 深信服提出了「Open XDR」的概念:一种基于 XDR 平台的开放融合解决方案, 用于满足三方安全设备数据接入的通用能力。

对于已经建设安全运营中心的用户来说, 基于 Open XDR 能力, 深信服 XDR 平台也可以成为其聚焦威胁运营、提升检测效果的子平台。

在数据采集层面,XDR 可与第三方设备数据和自有设备数据进行融合分析。

将碎片化的安全设备日志进行有效融合分析, 需要经过数据治理与关联分析两道关键步骤。

然而, 因技术手段有限, 多源数据治理, 存在数据质量差、建设周期长、建设成本高等业界难题, 深信服 XDR 又是如何力排万难的呢?

多源数据治理创新技术大起底——XStream

深信服 XDR 创新采用 XStream 技术, 通过整合多种 AI 技术, 实现三方设备自动化接入, 大幅提升多源数据接入的效率, 包含自动接入引擎、威胁类型自动理解引擎、智能校验引擎。

1.AI 自动接入解析

根据接入的第三方数据动态生成对应的自动解析规则, 分为采集过滤、识别匹配、规则生成等主要流程, 接入设备可快速学习适配、快速验证接入效果。

2. 深度理解威胁类型

在实时解析的过程中, 将未见过的三方日志规则类型发送到 AI 模型做此类规则的深度理解, 将规则对应的威胁类型写入缓存中, 当遇上同类规则时, 即可准确理解其对应的威胁类型, 由此提升告警研判效率, 快速挖掘高价值告警。

3. 智能校验载荷

对安全日志进行 payload 二次检测, 输出二次检测后的安全日志, 可增强对原始三方日志的检测能力, 纠正威胁等级。

多源数据关联分析关键技术——网端关联

依托 XStream 技术完成多源数据治理后, 数据将流转到二级告警聚合引擎, 结合关键的网端关联能力,XDR 平台由此生成精准的攻击结果。

1. 强关联

当网端两侧检测到了同一个命令执行、可疑文件行为或网络请求, 可以通过命令、文件、攻击类型因子进行准确匹配。

2. 逻辑关联

当攻击阶段存在攻防场景相关性, 通过网络侧攻击阶段的关联, 可以判断终端侧的可疑命令执行。

3. 弱关联

通过推测还原事件轮廓, 跨阶段关联不同设备的告警, 可以一定程度上解决断链难题。

多源数据效果可视化展现——数据质量分级

需要强调的是, 多源数据融合分析的核心在于数据质量。

在高质量的数据的基础之上, 结合 XStream、网端关联分析能力, 深信服 XDR 才能保障威胁检测分析的效果与效率。

因此, 深信服 XDR 将数据质量分为三个层级, 实现三方组件采集数据能力和质量的可视化, 帮助用户衡量价值和效果。

针对不同第三方设备的数据, 深信服 XDR 可展现不同安全效果所需的关键字段, 以便衡量各类三方数据的质量。

总之, 基于以 AI 为内核的「开放平台+领先组件+云端服务」, 深信服 XDR 平台通过自有和第三方的流量采集与端点采集组件, 将多源数据聚合分析, 准确生成安全事件并自动回溯完整攻击链, 结合安全 GPT 等 AI 技术赋能, 实现「秒级闭环, 百倍提效, 千万级降本」的效率和能力跃升, 构建安全运营的全新范式, 助力每一位用户「安全领先一步」。

来源：中关村网